Jump to content

Блокировка dhcp от абонентов P3310


Recommended Posts

Коллеги, искал на форуме, не нашел ответа

 

Подскажите, как средствами p3310 бороться с абонами, которые включают кабеля в LAN порт роутера и пытаются раздать ip адреса абонентам, которые в их влане?

 

Делаю на аплинке:

dhcp snooping trust

на epon интерфейсе:

filter dhcp

не помогает, а делать vlan per user не везде есть возможность

если где то обсуждалось - ткните, пожалуйста, носом

 

Спасибо!

Edited by chilly86
Link to post
Share on other sites

 

 

пытаются раздать ip адреса абонентам, которые в их влане?

вы не используете "изоляцию" абонентов? 

"BDCOMP3310Bподдерживает 3 уровня изоляции: изоляция портов ONU, изоляция ONUна одном EPON порту и изоляция ONU на соседних EPONпортах."

Link to post
Share on other sites
  • 2 years later...

Можна детальніше про - "изоляция ONU на соседних EPONпортах"?

 

 

ИЗОЛЯЦИЯИ ЗЕРКАЛИРОВАНИЕ ПОРТОВ НА BDCOMP 3310B

1. ИЗОЛЯЦИЯ ПОРТОВ

BDCOMP 3310 B

поддерживает 3 уровня изоляции: изоляция портов

ONU, изоляция ONU на одном EPON порту и изоляция ONU на соседних EPON портах.

Изоляция соседних портов одной ONU (в этом случае ПК абонентов, подключённые к соседним портам ONU не могут общаться друг с другом напрямую- только через EPON порт OLT-а).

Switch_config_epon0/1:1#epon onuport-protect

Изоляция ONU , подключённых к одному EPON порту OLT- а( в этом случае ONU из одного дерева не могут общаться друг с другом напрямую через EPON порт OLT -а - OLT отправляет пакеты на коммутатор вышестоящего уровня).

Switch_config_epon 0/1#no eponinner-onu-switch

Изоляция ONU , подключённых к разным EPON портам OLT - а (в этом случае ONU из соседних деревьев не могут общать ся друг с другом напрямую и OLT отправляет пакеты на коммутатор вышестоящего уровня).

Switch_config_epon0/1#switchport protected

 

Edited by daywalker
Link to post
Share on other sites
2 часа назад, daywalker сказал:

Можна детальніше про - "изоляция ONU на соседних EPONпортах"?

куда "детальніше":

2 часа назад, daywalker сказал:

Изоляция ONU , подключённых к разным EPON портам OLT - а (в этом случае ONU из соседних деревьев не могут общать ся друг с другом напрямую и OLT отправляет пакеты на коммутатор вышестоящего уровня).

Switch_config_epon0/1#switchport protected

 

Link to post
Share on other sites
  • 1 month later...

на 3310С делали,по сей день работает

По поводу DHCP: 

1) На uplink включить dhcp snooping trust

2)Глобально ip dhcp-relay snooping

Главное чтоб голова не в цепочке была.

На OLT 3608/16 можно включить снупинг для 1024 абонентов, на 3310B и 
3310C - только для 256.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Plastilin
      Вітаю. Маю наступний комплект. Ubilling на Debian + Mikrotik CHR як маршрутизатор. Наче все запустилось, але виникло питання яке не вдається розрулити. Читав Wiki, ковиряв, читав знову Wiki, знову ковиряв - не допомогло.
      Чи можливо якось визначити конкретну IP адресу з пулу який видає Mikrotik клієнту через Radius? Мені пропонує обрати наступну вільну адресу з пулу при спробі зміни адреси?
      З цього з'являється додаткове питання, чи можливо контролювати доступ користувачам у яких IP назначений статично, тобто прописаний вручну? Наприклад при зміні статусу не активний - пхати до Firewall Mikrotik правила заборони доступу з IP адреси визначеної вручну, навіть якщо вона не отримана по DHCP.
       
      UPD: з першою частиною знайшов: IP_CUSTOM=1 в alter.ini 
    • By safelock
      hello.
      How to configure dhcp snooping in zte C320 v2.1.0?
      In c220 I set: 
       
      In C320 v2.1.0 I don't have option to set trust port? how to declared trust port?
       
    • By NETOS
      В продажі OLT BDCOM P3310B + 4 PON SFP. 
      Комплект OLT, кабель живлення, вуха, SFP.
      Не гудить, працював 1,5 року, потім почалась війна.
       
      Ціна 11000 грн. 







    • By vvo92
      Добрый день, прошу вашей помощи.
      Есть два свитча Zyxel XGS1930-52 и D-link DGS-3000-28x, которые объединены 10G каналом через sfp модуля в 52 и 25 портах соответственно + микротик, который подключен к 24 порту D-link. На обоих свитчах настроены VLAN1 и VLAN20 с транками на 52 и 25 порте + транк на 24 порте D-link для микротика, подключенные устройства получают айпишки по DHCP в нужных мне VLAN. Возникла только проблема, что Zyxel не может получить IP для вебморды, что из сегмента VLAN1 что VLAN20. Любые попытки пинга с Zyxel на устройства подключенные к Dlink заканчиваются 100% потерей пакетов. При этом устройства подключенные к портами этого Zyxel без проблем пингуют все устройства подключенные Dlink, если они в одном VLAN вместе с ними. В свою очередь пинг с Dlinka на устройства подключенные к портам Zyxel происходит без проблем, за исключением пинга на веб морду Zyxel, которая сейчас доступна по статическому IP. DHCP Discover пакет на портах 1-48 Zyxel Wiresharkoм ловился, но тем же микротиком на порте Dlink уже нет. Что это может быть?
    • By a_n_h
      Всем доброго дня!
        Все собрано как на картинке из документации, билинг с адресом 172.16.0.1, НАС с адресом 172.16.0.2. Добавил на НАСе сеть "белых" адресов, абоны первоначально адреса но DHCP получают, в инет выходят, но доступа в кабинет и к серверу DHCP нет. Как правильно настроить? в доке по Убилингу "обещано", что "белые" адреса ничем не отличаются от остальных. Предложение добавить на биллинге "белый" адрес - в силу известных причин, не подходит.
×
×
  • Create New...